我的小企业有几台网络打印机和网络摄像机,都在同一个网络下。这导致潜在的安全风险:任何人都可以打印到任何打印机,任何人都可以篡改摄像头系统(通过在他们的计算机上安装海康威视 SADP 工具,获取摄像头序列号。然后要求当地经销商重设密码).
我对网络管理还很陌生,需要一些解决这个问题的建议。我不需要一步一步的说明,只需要一般的指导方针。我很确定这个问题很简单,解决它的方法不止一种。
目前,我的网络设备比较基础:一个ISP提供的GPON/router/switch combo(我觉得它有很多高级功能,虽然我不是很熟悉,还在研究中)和几个哑交换机。不过,如果需要,我买得起更好的。
设置了 VLAN 的托管交换机。通常就是这样做的。
这样你可以让一个以太网从一个区域运行到另一个区域,但你可以在末端有几个不同的设备,它们之间无法通信。它们可以设置为只能与另一侧的特定 LAN 端口通信。例如,只能允许相机从您的计算机插入的以太网端口接收数据,但位于同一位置的打印机可以从启用 VLAN 的交换机上的任何以太网端口接收数据。
编辑:在第 2 层,进入托管交换机的所有内容都会根据您在交换机上设置特定端口的方式进行标记。当以太网帧从 LAN 的 VLAN 部分出来时,如果端口允许特定标记离开端口,则可以删除其 VLAN 信息,主机甚至不知道 VLAN 正在使用中。您可以设置允许离开的任何标签,或允许所有标签。
阅读您的问题时,我首先想到的是使用防火墙规则,直到我谈到您提到的几个哑开关。
既然你说你是网络管理的新手,我将解释其中一些内容背后的机制,并为你提供一个(希望如此)简单的解决方案。
防火墙有 ACL(访问控制列表),基本上只控制哪些 IP 地址可以去哪里。ISP 提供的路由器/交换机组合内置了防火墙。我无从知晓,但我敢猜测它足够先进,可以让您创建防火墙规则。您可以使用这些规则来允许或拒绝从源到目标的流量。如果你没有任何额外的开关,那么就这样,我们就完成了……但开关是一个不同的野兽。
如果流量的目标是连接到同一交换机的另一台设备,则哑交换机中的网络流量将不会通过防火墙。交换机使用称为 MAC 地址表的东西。MAC 地址是分配给所有网络硬件的唯一十六进制数字。交换机记录哪些 MAC 地址通过哪个端口进行通信。当网络流量进来时,交换机会查看目标 MAC 地址,以确定应该通过哪个端口发送。如果目标 MAC 连接到同一交换机上的交换机端口,则它直接路由到该设备,从而完全跳过防火墙/路由器。
使用您现有的硬件,您可以执行以下操作:
这将使不是来自该交换机路由的所有流量都通过防火墙,并被任何防火墙规则捕获。
至于你的打印机安全。这可能最好通过您用来共享打印机的任何机制来管理。我会只与需要访问权限的特定用户而不是“所有人”共享打印机。